Amazonで本名晒し祭り - うさだBlog / ls@usada's Workshop# 1. メールアドレスが分かると本名も分かる。Amazonのアカウント情報に本名を使用し、かつAmazonで使用しているメールアドレスを自サイトやSNSなどで晒していた場合、Amazon公式のウィッシュリスト(ほしい物リスト)フォームからメールアドレスで検索をかける事で、何の工夫もなくあっさりと本名を抜ける。さらに送り先住所が設定してあった場合、住所の前半部分までを知る事ができる。 2. 「友達にほしい物リストについて知らせる」機能をCSRFで叩き、Amazonにログインしたままサイトにアクセスして来た人間のウィッシュリストを、特定のメールアドレスに送信させる事ができる。このメールには送信者がAmazonに登録した名前とメールアドレスの情報が含まれているので、詰まるところhtmlを踏ませるだけでこれらの情報を抜く事ができる。 - CSRFについては、一般的な人々が「自動的にログインする」
